Spring Security -kehyksen autentikointi- ja autorisointiratkaisujen implementointi

Abstract

Opinnäytetyön tavoitteena oli tehdä selvitys Spring Securityn autentikointi- ja autorisointiratkaisujen implementoinnista olemassa olevaan ympäristöön. Selvityksellä haluttiin tuottaa Combitech OY:lle dokumentaatiota tukemaan sellaisia tilanteita, joissa Spring Securityn ominaisuuksia halutaan hyödyntää valmiissa ympäristössä. Implementoinnin kohdeympäristöksi rakennettiin oluttietokanta-verkkosovellus. Ympäristön piti täyttää tiettyjä vaatimuksia, jotta sen perusteella tehdyn selvityksen tuloksia olisi mahdollista soveltaa tulevissa projekteissa. Verkkosovellus on toteutettu Javalla ja siinä hyödynnetään Spring Boottia ja sen sulautettua Tomcat-palvelinta sovelluksen ajamisessa. Verkkosovellus on rakennettu MVC-mallin mukaan ja sen view-tason sivu-templatet on toteutettu Thymeleafilla. Sovellusta tukeva tietokanta on toteutettu PostgreSQL:llä ja tietokannan dataa käsitellään sovelluksessa JPA:n ja Hibernate ORM:n avulla. Työn lopputuloksena saatiin tuotettua verkkosovellus, jonka sisäisten service-rajapintojen ajo-oikeuksia on rajoitettu käyttäjien roolien perusteella hyödyntäen Spring Securityn metoditason autorisointiominaisuuksia. Lisäksi saatiin tuotettua dokumentaatiota, jota voidaan käyttää tulevaisuuden projekteissa tukena Spring Securityn ominaisuuksien implementoinnissa, jos niitä vaativia tilanteita tulee vastaan. Spring Securityn autentikointi- ja autorisointiratkaisujen implementointi oli helppoa ja suoraviivaista. Ratkaisut olivat helposti mukautettavissa käyttäjän tarpeisiin. Lisäksi Spring Security tarjoaa valmiita toteutuksia kolmansien osapuolien ratkaisuille, kuten OAuth2 tai LDAP.

The goal of this thesis was to write a report on the implementation of Spring Security’s authentication and authorization solutions to an already existing environment. The report serves as supportive documentation for Combitech OY when they encounter situations where employing Spring Security’s features is applicable. Beer database web application was created to serve as a target environment for the implementation process. The environment had to meet specific requirements for the results of the report to be applicable in future projects. The application was created with Java and it utilizes Spring Boot and its embedded Tomcat server. It was built according to the MVCmodel and employs Thymeleaf on the view level to produce the page templates. The application utilizes a PostgreSQL database for data storage with Hibernate ORM handling persistence and object mapping within the java program. The result of this thesis was a web application where the execution of service interface’s methods is authorized according to the role of the user by using the method security features of Spring Security. In addition, documentation that can be used as support when implementing Spring Security’s features, was produced. The implementation of the authentication and authorization features in Spring Security was easy and straight forward. The solutions were also highly customizable to suit the needs of the user. Additionally, Spring Security provides support for third-party solutions like OAuth2 and LDAP.